物聯網已經取得了突破,采用率也在不斷攀升。目前全球可能有超過200億臺的物聯網設備,到2025年,可能有超過750億臺物聯網投入使用。即使智能家居設備有所增加,但大多數物聯網設備都出現在商業、工業和醫療保健領域。
其好處是巨大的:從實現重復性任務(簡單和復雜)的自動化,到實時數據洞察和分析,物聯網設備讓員工更有效率,改善客戶體驗并降低運營成本。
然而,物聯網設備帶來諸多好處的同時也帶來了嚴重的安全問題。以下是物聯網設備存在嚴重安全問題的幾個原因:
▲安全協議薄弱或不存在
▲影子IT
▲物聯網設備的互聯性
▲物聯網設備的獨立性
▲企業IT中的消費類設備
首先,創建物聯網設備的主要目的是提高效率,而安全卻處于次要地位。這就是為什么用于計算機和智能手機的傳統安全系統(例如防病毒軟件、防火墻、VPN等)不適用于物聯網設備的原因所在。
據Zscaler稱,83%基于物聯網的交易是通過純文本渠道進行的,非常容易受到攻擊,而只有17%是通過SSL進行的。
這些設備缺乏安全協議,已經在許多公司中造成了嚴重的安全攻擊事件。如果無法跟蹤和保護公司中的這些設備,那么攻擊行為的發生也只是時間問題。
如今,這些物聯網設備已經成為每家公司影子IT的主要組成部分,使公司容易受到攻擊。在2016年,Gartner預測2020年三分之一針對企業的攻擊將通過影子IT資源進行。
此外,企業使用的大量物聯網設備本身就存在安全風險。隨著每一個新的通風和空調系統、視頻會議工具、智能門、安全攝像頭等端點接入互聯網,都增加了被黑客攻擊的新風險。
再加上這些設備的互聯性,很容易理解大多數組織所面臨的危險。大多數連網設備不受管理,但卻連接到公司的中央服務器,這給黑客提供了侵入系統的大好機會。
更糟糕的是,大多數物聯網設備獨立于其運營商運行,可以連接互聯網并獨立執行基本操作。這意味著黑客可以通過一個設備在無人知曉的情況下入侵公司數據。
企業物聯網安全的另一個令人不安的盲點是消費類智能設備在工作場所的激增。實際上,大多數影子IT設備都是連接到公司網絡的未經授權的(個人)設備,這給公司帶來了各種各樣的漏洞。
例如,一名員工將其智能手表連接到公司網絡可能沒有任何危害,但是卻為黑客攻擊提供了機會。
隨著技術的進步,黑客們的攻擊策略也越來越高明。尤其是勒索軟件的攻擊,例如,黑客可以“綁架”物聯網設備,并阻止其正常運行,直到支付贖金。面對這些挑戰,企業如何提高物聯網的安全性?
適當的審計:第一步是清點公司使用的物聯網設備,同時還應采用適當的方法來評估公司的物聯網生態系統并測試網絡,以了解系統何時出現問題。
物聯網分析:除了簡單地識別已安裝的設備之外,通過分析了解和映射這些設備的行為也很重要。然后,該分析算法可以識別異常并自動警告安全團隊注意風險或攻擊。此外,物聯網分析也涵蓋了預測性維護。
數據加密:大多數物聯網設備不具備安全功能,但是減輕風險的一種方法是對共享數據進行加密?;ヂ撛O備之所以被稱為互聯設備,是因為它們可以相互通信。(來源物聯之家網)通過入侵一臺設備,攻擊者可以輕松竊取數據并破壞網絡。如果有了端到端加密,攻擊者將很難竊取數據。
隔離物聯網設備:除非物聯網設備對企業的核心業務至關重要,否則它不需要與其他主要系統處于同一網絡上。在網段上隔離物聯網設備可以降低嚴重安全漏洞的風險。即使有漏洞,也不會有大麻煩。
物聯網設備對企業既有好處,也有風險。保護它們不同于保護計算機和智能手機等更傳統的設備。
企業要采取的一項關鍵行動是,在識別和切斷異常流量的同時,清除辦公室網絡中的影子物聯網設備。員工還需要接受物聯網安全方面的培訓,以免無意中成為安全隱患,尤其是通過他們的個人智能設備。